2017年5 月12 日晚上20 時左右,全球爆發(fā)大規(guī)模蠕蟲勒索軟件感染事件,僅僅幾個小時內,該勒索軟件已經(jīng)攻擊了99個國家近萬臺電腦。英國、美國、俄羅斯、德國、土耳其、意大利、中國、菲律賓等國家都已中招,且攻擊仍在蔓延。
據(jù)報道,勒索攻擊導致16家英國醫(yī)院業(yè)務癱瘓,西班牙某電信公司有85%的電腦感染該惡意程序。至少1600家美國組織,11200家俄羅斯組織和6500家中國組織和企業(yè)都受到了攻擊。國內也有大量教學系統(tǒng)癱瘓,包括校園一卡通系統(tǒng)。
瑞星的研究人員對勒索軟件進行詳細的分析,并且給出多種解決方案,包括“永恒之藍”病毒免疫工具。
一、背景介紹
WannaCry勒索病毒 通過windows操作系統(tǒng)漏洞EternalBlue永恒之藍 發(fā)起攻擊。3月14 微軟已經(jīng)發(fā)布補丁,由于很多受害者沒有及時安裝補丁,導致被病毒攻擊,計算機中的文件被加密。
二、詳細分析
病毒分為漏洞利用模塊,加密器,解密器
攻擊邏輯如下:
攻擊者發(fā)起攻擊,被攻擊機器由于存在漏洞,導致自身中毒。中毒之后漏洞利用模塊啟動,
漏洞利用模塊運行之后,釋放加密器和解密器,啟動攻擊線程,隨機生成ip地址,攻擊全球。
加密器啟動之后,加密指定類型的文件。文件全部加密之后,啟動解密器
解密器啟動之后,設置桌面背景顯示勒索信息,彈出窗口 顯示付款賬號和勒索信。威脅用戶指定時間內不付款文件無法恢復。
漏洞利用模塊分析
1、啟動之后判斷命令行參數(shù),是否已經(jīng)釋放文件。如果沒有釋放文件則釋放文件,啟動釋放的加密器,把自身設置為服務。
圖-創(chuàng)建服務
病毒主程序 偽裝為微軟安全中心
圖-偽裝為服務
從資源中解密文件
圖-從資源中釋放出加密器
拼湊路徑
圖-拼湊加密器釋放的路徑
釋放加密器
圖-釋放加密器
啟動加密器
圖-啟動加密器程序
2、如果服務創(chuàng)建成功,則啟動服務進入服務函數(shù),創(chuàng)建線程 執(zhí)行相應功能
圖-隨機生成攻擊IP
圖-利用漏洞攻擊生成的ip
攻擊線程中構造exploit 發(fā)送漏洞利用程序數(shù)據(jù)包
復制shellcode
圖-構造漏洞利用數(shù)據(jù)包
發(fā)送數(shù)據(jù)包 利用漏洞攻擊攻擊生成的ip
圖-收發(fā)數(shù)據(jù)包
圖-發(fā)送漏洞利用數(shù)據(jù)包
隨機生成IP 攻擊全球主機
圖-被攻擊ip
加密器分析
加密器啟動之后復制自身到C:\ProgramData\dhoodadzaskflip373(不同的系統(tǒng)會復制到不同的目錄)目錄下
圖-復制自身并啟動
創(chuàng)建服務 使用cmd命令啟動自身 防止被結束進程
創(chuàng)建服務
圖-創(chuàng)建服務 防止被結束
各參數(shù)信息
圖-服務信息
創(chuàng)建互斥體 防止運行多個實例
MsWinZonesCacheCounterMutexA
創(chuàng)建注冊表鍵值
圖-創(chuàng)建注冊表鍵值
從資源中解密出相關文件
包括提權模塊taskse.exe 、 清空回收站模塊taskdl.exe、解密器程序@WanaDecryptor@
還有一些 語言資源文件和 配置文件
圖-加密器釋放的文件
然后隨機從三個比特幣錢包中選取一個 作為勒索顯示信息
圖-比特幣錢包地址
把釋放的文件夾 所有文件 設置為隱藏屬性
圖-釋放的文件設置為隱藏
遍歷查找文件
圖-遍歷文件
判斷是否是不感染的路徑
圖-判斷路徑
判斷是否是要加密的文件類型
圖-判斷文件類型
讀取文件并加密
圖-讀取文件
刪除原來的文件 只保留加密后的文件
圖-刪除原文件
病毒會加密指定類型的文件
以下是病毒加密的文件類型
加密的文件類型
加密后的文件添加后綴 .WNCRYT
圖-被加密的文件后綴
加密完成之后運行解密器 彈出勒索窗口
解密器分析
解密器運行之后會刪除windows自動備份 無法還原被加密的文件
圖-刪除備份
修改桌面背景 顯示勒索信息
圖-勒索信息
彈出勒索窗口,顯示比特幣錢包地址和付款金額
圖-勒索彈窗
解決方案:
1、打補丁
由于此次勒索病毒大范圍傳播是由于很多機器沒有打補丁,被攻擊之后導致中毒。
沒有中毒的機器,盡快打補丁可以避免中毒。
更新微軟MS17-010漏洞補丁,對應不同系統(tǒng)的補丁號對照表:
2、關閉端口
由于此漏洞需要利用445端口傳播,關閉端口 漏洞就無法利用
關閉端口詳細方法見附錄
3、創(chuàng)建互斥體
由于加密器,啟動之后會檢測是否已經(jīng)有加密器程序存在,防止互相之間干擾,所以會創(chuàng)建互斥體MsWinZonesCacheCounterMutexA。只要檢測到互斥體存在就會關閉程序。安全軟件可以利用這一點 讓病毒運行之后自動退出,無法加密文件。
4、瑞星安全研究院為了使廣大用戶更方便、更高效的防御此病毒,率先發(fā)布了“永恒之藍”病毒免疫工具,用戶下載并運行此工具便可防御此病毒。
下載地址:
瑞星“永恒之藍”免疫工具
http://downl
OAd.rising.net.cn/zsgj/EternalBluemianyi.exe
瑞星“永恒之藍”免疫工具+殺軟
http://download.rising.net.cn/zsgj/EternalBluemianyi_sharuan.exe
以上多個步驟,用戶可以根據(jù)實際情況選擇合適的方式進行選擇一個或多個,然后使用“一鍵搞定”即可,后臺即會自動按照選擇的免疫方式執(zhí)行。
1.安裝瑞星安全云終端
瑞星全線產(chǎn)品最新版本都能查殺“永恒之藍”病毒,考慮到有些用戶沒有安裝殺毒軟件或者使用了不能查殺該病毒的產(chǎn)品,能夠快速安裝安全云終端產(chǎn)品,方便對病毒進行查殺。
2.關閉SMBv1
該病毒網(wǎng)絡傳播本身是利用了SMBv1協(xié)議的漏洞,所以通過關閉SMBv1協(xié)議已達到阻止病毒傳播的途徑效果,使用該方法,需要重啟后方才生效。
3.增加系統(tǒng)防火墻規(guī)則
有些用戶環(huán)境不允許計算機重啟,所以另一種方式就是開啟系統(tǒng)防火墻并增加阻止病毒傳播利用的端口,達到免疫目的。
4.打系統(tǒng)補丁
病毒畢竟是利用了微軟的漏洞,所以打補丁理論上是最好的方式,免疫工具里特別針對本次MS17-010漏洞進行掃描識別,并自動通過互聯(lián)網(wǎng)去下載需要的補丁進行安裝修復。
5、瑞星不同產(chǎn)品均已做出反饋并給出解決方案,包括安全終端解決方案、云安全解決方案以及網(wǎng)關安全解決方案,只要瑞星用戶將產(chǎn)品更新到最新版本,均可抵御此勒索病毒
核心關注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務領域、行業(yè)應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業(yè)務領域的管理,全面涵蓋了企業(yè)關注ERP管理系統(tǒng)的核心領域,是眾多中小企業(yè)信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:WannaCry勒索病毒分析報告
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/10839520660.html